很多报道认为,针对平昌冬奥会的袭击事件源自朝鲜或者俄罗斯,因为在相关的软件中研究人员发现了只有朝鲜黑客曾经用过的代码片段。但卡巴斯基实验室的新研究表明,那些代码是故意留在那里的,为的是隐藏自己的踪迹。或许研究人员们需要重新分析一下他们的溯源方法了。
卡巴斯基全球研究和分析团队负责人Vitaly Kamluk周四在墨西哥坎昆举行的网络安全会议上表示:“攻击者变得越来越聪明,他们知道去伪造一些假的线索。”
要采取措施之前研究人员首先要找到攻击的发起者。但这个过程往往很艰辛,2017年勒索软件WannaCry勒索软件用到了NSA的黑客工具,但我们不能断定美国政府是背后的黑手。大约8个月之前,白宫才敢宣布俄罗斯发起了“NotPetya”攻击,并把它称为“历史上最具破坏性的网络攻击”。
Kamluk说,研究人员仍在努力寻找谁发动了冬奥会的黑客攻击,但他指出,那些来自朝鲜Lazarus黑客组织的代码是伪造的。
卡巴斯基实验室的研究人员在查看恶意软件的“Rich Header”部分发现了伪造的迹象,该部分代码在大多数可执行Windows文件中。他们发现Rich Header与以前的Lazarus Group攻击不一致。卡巴斯基研究员Igor Soumenkov说,这些代码是复制黏贴的。
“我们已经找到了证据证明这些百分之百是伪造的,目的是混淆公众,”Kamluk说。
除了Lazurus组织的伪造特征外外,其他一些俄罗斯相关的黑客组织如Sofacy(也被称为Fancy Bear和APT28)也牵连到这次袭击中。其他国家的黑客组织如APT3(Gothic Panda),APT10(MenuPass Group)和APT12(IXESHE)也有特征代码涉及其中。
